Персональные данные в сми без согласия. Можно ли публиковать персональные данные гражданина, если в деле есть общественный интерес? Возможно вам будет интересно ознакомиться с правовыми для работы журналиста в суде

(Минбалеев А. В.) («Юрист», 2011, N 15)

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОСУЩЕСТВЛЕНИИ ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ ЖУРНАЛИСТОВ <*>

А. В. МИНБАЛЕЕВ

——————————— <*> Исследование выполнено в рамках поисковых научно-исследовательских работ по теме «Правовое регулирование деятельности средств массовой информации в условиях развития информационного общества в России» (государственный контракт N П1020 от 20.08.2009) по проекту: «Проведение поисковых научно-исследовательских работ по направлению «Юридические и политические науки» в рамках мероприятия 1.2.2 Программы» мероприятия 1.2.2 «Проведение научных исследований научными группами под руководством кандидатов наук» по направлению 1 «Стимулирование закрепления молодежи в сфере науки, образования и высоких технологий» Федеральной целевой программы «Научные и научно-педагогические кадры инновационной России» на 2009 — 2013 годы.

Минбалеев Алексей Владимирович, ведущий научный сотрудник Уральского научно-исследовательского центра интеллектуальной собственности РНИИС, доцент кафедры конституционного и административного права Южно-Уральского государственного университета, кандидат юридических наук.

В статье исследуется проблема обработки персональных данных журналистами и средствами массовой информации при осуществлении ими профессиональной деятельности. Автор анализирует нормы законодательства о персональных данных, об ограничении прав субъектов персональных данных при обработке их персональных данных журналистами, дает рекомендации журналистам и СМИ, рассматривает гарантии субъектов персональных данных.

Ключевые слова: журналист, персональные данные, защита прав, средства массовой информации.

Protection of the personal data during realization of professional activity of journalists A. V. Minbaleev

In the article the problem of processing of the personal data journalists and mass medias is explored at realization by them to professional activity. The norms of legislation are analysed about the personal information about limitation of rights for the subjects of the personal information at processing of their personal data journalists. Given recommendation journalists and mass media. The guarantees of subjects of the personal information are examined.

Key words: journalist, personal information, defence right, mass medias, professional activity.

Журналисты в процессе осуществления профессиональной деятельности постоянно сталкиваются с необходимостью обработки персональных данных своих «героев», интервьюируемых и других лиц. Особенно часто с проблемой персональных данных приходится сталкиваться в ходе журналистских расследований, когда кроме персональных данных обычной чувствительности приходится использовать специальные категории персональных данных. Федеральный закон «О персональных данных» (далее — Закон о персональных данных) <1> в числе специально урегулированных отношений предусмотрел и обработку персональных данных журналистами и средствами массовой информации (далее — СМИ). Насколько свободно сегодня могут обрабатывать персональные данные тех или иных лиц журналисты и СМИ? Где пределы вмешательства журналистов в сферу персональных данных? Эти вопросы сегодня постоянно ставятся редакциями СМИ. Они же имеют и важную научную значимость, поскольку институт обработки персональных данных в сфере массовой информации является одним из наименее изученных механизмов ограничения права на персональные данные как в российской науке информационного права, так и за рубежом <2>. ——————————— <1> Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» // СЗ РФ. 2006. N 31 (1 ч.). Ст. 3451. <2> См.: Zulauf R. Informationsqualitat. Ein Beitrag zur journalistischen Qualitatsdebatte aus der Sicht des Informationsrechts: Dissertation / Genehmigt auf Antrag vor Prof. Dr. Rolf H. Weber. Zurich: Schulthess Juristische Medien AG, cop. 2000. 164 s.; Beckmann E. Der Schutz personenbezogener Daten im sozialen Sicherungssystem: Auf der Basis des deutschen, osterreichischen und europaischen Rechts. 1. Aufl. Baden-Baden: Nomos, 2000. 221 s. (Frankfurter Studien zum Datenschutz; Bd. 15); Kugelmann D. Die informatorische Rechtsstellung des Burgers: Grundlagen und verwaltungsrechtliche Grundstrukturen individueller Rechte auf Zugang zu Informationen der Verwaltung. Tubingen: Mohr, 2001. XII, 399 s. (Jus publicum; Bd. 65); Smith Graham J. H. Internet law and regulation / By Graham J. H. Smith and contributors from Bird & Bird: Simon Chalton et al. 3. ed., reprint. London: Sweet & Maxwell, 2002. XLVII. 737 p.

Правовой основой для законной обработки журналистами персональных данных выступает п. 6 ч. 2 ст. 6 Закона о персональных данных. В соответствии с данной нормой персональные данные могут обрабатываться без предварительного получения согласия субъекта персональных данных в случае, когда такая «обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных». При этом под обработкой персональных данных Закон о персональных данных понимает действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Таким образом, все эти действия с персональными данными журналист может осуществлять только в целях профессиональной деятельности. Данное ограничение традиционно связывается со ст. 9 (п. «b» ч. 2) Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS N 108 (Страсбург, 28 января 1981 г.), согласно которой договаривающиеся стороны могут отступить от основных принципов защиты данных личного характера, когда это предусмотрено законом государства и является необходимой мерой в демократическом обществе для защиты субъекта данных или прав и свобод других лиц <3>. Ограничение прав субъектов персональных данных при их обработке в процессе профессиональной деятельности журналиста введено в целях защиты свободы массовой информации и свободы слова. Это так называемая медиапривилегия <4>. ——————————— <3> Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS N 108). Заключена в г. Страсбурге 28.01.1981 // Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М.: СПАРК, 1998. С. 106 — 114. <4> См.: Fechner F. Medienrecht: Lehrbuch des gesamten Medienrechts unter besonderer Berucksichtigung von Presse, Rundfunk und Multimedia. Stuttgart, 2008. S. 160 — 161.

Согласно ст. 2 Закона Российской Федерации «О средствах массовой информации» (далее — Закон о СМИ) <5> под журналистом понимается лицо, занимающееся редактированием, созданием, сбором или подготовкой сообщений и материалов для редакции зарегистрированного средства массовой информации, связанное с ней трудовыми или иными договорными отношениями либо занимающееся такой деятельностью по ее уполномочию. Из данного определения явно следует, что в полномочия журналиста не входит распространение информации, а значит, и обработка персональных данных в части их распространения. Профессиональная деятельность журналиста неотъемлемо связана с деятельностью редакции СМИ. В связи с этим обработкой персональных данных в части ее распространения занимается редакция СМИ. Между тем редакция СМИ не названа в п. 6 ч. 2 ст. 6 Закона о персональных данных как субъект, управомоченный обрабатывать персональные данные без предварительного получения согласия субъекта персональных данных. В связи с чем на практике сегодня ряд СМИ задаются вопросом о наличии у них такого права. Представляется, что анализируемую норму необходимо толковать расширительно (включая редакции СМИ в число управомоченных субъектов), поскольку без редакции СМИ журналист не может осуществлять профессиональную деятельность и реализовать свое право на обработку персональных данных. Подтверждением данной мысли является и легальное определение понятия «распространение персональных данных», под которым Закон о персональных данных понимает «действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом». Также необходимо учитывать, что Закон о персональных данных допускает обработку персональных данных без согласия субъекта именно в целях профессиональной деятельности журналиста. Данная цель предполагает, что журналист обязательно действует от редакции СМИ (выполняет трудовые обязанности, исполняет условия гражданско-правового договора, заключенного с редакцией, или действует по поручению редакции), а не от себя лично. ——————————— <5> Закон РФ от 27 декабря 1991 г. N 2124-1 (в ред. от 25.12.2008) «О средствах массовой информации» // Ведомости СНД и ВС РФ. 1992. N 7. Ст. 300.

Спорным вопросом является и возможность «льготной» обработки персональных данных всеми журналистами. С точки зрения юридического статуса в качестве журналиста может быть любое физическое лицо, уполномоченное редакцией (например, внештатные корреспонденты, работающие по заданию редакции). Возникает вопрос о том, кто будет гарантировать в данном случае выполнение данным лицом требований конфиденциальности персональных данных. Особенно это актуально в тех случаях, когда внештатные корреспонденты работают в другом регионе, и еще сложнее, если сбор персональных данных происходит за рубежом. С анализируемым ограничением прав субъектов персональных данных на их обработку корреспондирует обязанность журналистов и средств массовой информации соблюдать требования о недопустимости нарушения прав и свобод субъектов персональных данных. Прежде всего это права субъектов персональных данных, закрепленные Законом о персональных данных. В частности, право на доступ к своим персональным данным, в том числе право требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (ст. 14 Закона о персональных данных). Права субъектов, персональные данные которых обрабатываются журналистами в процессе профессиональной деятельности, также вытекают из ряда обязанностей журналистов, закрепленных в Законе о СМИ и других законах, регулирующих отношения в сфере массовой информации. Так, ст. 41 Закона о СМИ запрещает редакции СМИ без согласия несовершеннолетнего и его законного представителя разглашать в распространяемых сообщениях и материалах сведения, прямо или косвенно указывающие на личность несовершеннолетнего, совершившего преступление либо подозреваемого в его совершении, а равно совершившего административное правонарушение или антиобщественное действие. Без согласия несовершеннолетнего и (или) его законного представителя запрещается разглашать в распространяемых сообщениях и материалах сведения, прямо или косвенно указывающие на личность несовершеннолетнего, признанного потерпевшим. Согласно ст. 50 Закона о СМИ распространение сообщений и материалов, подготовленных с использованием скрытой аудио — и видеозаписи, кино — и фотосъемки, допускается, только если это не нарушает конституционных прав и свобод человека и гражданина; если это необходимо для защиты общественных интересов и приняты мер против возможной идентификации посторонних лиц, а также если демонстрация записи производится по решению суда. При работе с персональными данными СМИ и журналистам необходимо учитывать, что освобождение журналистов от предварительного получения согласия субъекта персональных данных на их обработку при осуществлении профессиональной журналистской деятельности не освобождает СМИ от этой обязанности при обработке персональных данных в иных отношениях и в иных целях, кроме профессиональной деятельности по созданию и распространению массовой информации. Например, в случаях обработки персональных данных читателей, зрителей, слушателей, подписчиков, клиентов в целях исследования общественного мнения, повышения рейтинга и т. д. Не освобождены они и от обязанности принимать меры по охране конфиденциальности, установленные законодательством о персональных данных. Соблюдение конфиденциальности персональных данных возлагается как на СМИ в качестве оператора, так и на любого журналиста, получившего доступ к персональным данным. Это требование вытекает не только из ст. 3 и 7 Закона о персональных данных, но и из ст. 49 Закона о СМИ, согласно которой при осуществлении профессиональной деятельности журналист обязан: уважать права, законные интересы, честь и достоинство граждан и организаций; проверять достоверность сообщаемой им информации; сохранять конфиденциальность информации и (или) ее источника; при получении информации от граждан и должностных лиц ставить их в известность о проведении аудио — и видеозаписи, кино — и фотосъемки. В ходе профессиональной деятельности журналистов их персональные данные также часто подлежат обработке, например, при их использовании в рамках аккредитации журналистов. И в этом случае также речь может идти об обработке аккредитующими организациями персональных данных без согласия их субъектов (журналистов), если это осуществляется в целях профессиональной деятельности журналистов. Интересно в этом отношении Определение Верховного Суда Российской Федерации от 27 февраля 2008 г., в котором было принято решение по жалобе прокурора Республики Коми о признании противоречащими федеральному законодательству и не действующими со дня принятия ряда норм Положения об аккредитации представителей средств массовой информации при Главе Республики Коми, утвержденного Указом Главы Республики Коми «Об аккредитации представителей средств массовой информации при Главе Республики Коми» от 19 декабря 2006 г. N 143, в частности, подп. 1 п. 9 в той части, в какой он предусматривает представление редакцией средства массовой информации в Управление по связям с общественностью и информации администрации Главы Республики Коми и Правительства Республики Коми сведений о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитуемых журналистов; подп. 2 п. 15 в той части, в какой он предусматривает возможность отказа в аккредитации при представлении средством массовой информации заявки, не содержащей сведений о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитуемых журналистов. Заявитель в своей жалобе ссылался на тот факт, что Глава Республики Коми не относится в силу положений Федерального закона «О персональных данных» к операторам, осуществляющим обработку персональных данных. Кроме того, в соответствии с названным Указом персональные данные аккредитуемых журналистов должны были предоставляться в обязательном порядке, т. е. без их согласия, что, по мнению заявителя, противоречит общим принципам обработки персональных данных, установленных законом. Проверив материалы дела, изучив доводы кассационного представления прокурора, Судебная коллегия по гражданским делам Верховного Суда Российской Федерации нашла ранее принятое решение Верховного Суда Республики Коми подлежащим оставлению без изменения по следующим основаниям. В силу ст. 1, 38, 39, 48 Закона Российской Федерации «О средствах массовой информации» редакция средства массовой информации с целью оперативного получения полной информации о деятельности государственных органов, организаций, учреждений, органов общественных объединений и доведения этой информации до граждан вправе подать заявку на аккредитацию при указанных выше органах, организациях, учреждениях своих журналистов. Судом обоснованно обращено внимание на то, что правила аккредитации журналистов при государственных органах, организациях, учреждениях, органах общественных объединений устанавливаются данными субъектами самостоятельно. То есть Глава Республики Коми действительно имеет статус оператора, имеющего право устанавливать принципы и цели обработки персональных данных. Аккредитовавшие журналистов органы, организации, учреждения обязаны предварительно извещать их о заседаниях, совещаниях и других мероприятиях, обеспечивать стенограммами, протоколами и иными документами, создавать благоприятные условия для производства записи. Для исполнения указанной обязанности они должны располагать сведениями о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитованных журналистов, поскольку непредставление редакцией средства массовой информации данного минимума персональных данных может привести как к нарушению предусмотренных ст. 47, 48 Закона Российской Федерации «О средствах массовой информации» прав журналистов, так и к ущемлению права граждан на получение оперативной и достоверной информации о деятельности органов, организаций и учреждений, аккредитовавших журналистов. Существенное значение в данном случае имеет и то обстоятельство, что в силу требований Закона Российской Федерации «О средствах массовой информации» аккредитация журналиста возможна только на основании его волеизъявления, в связи с чем предполагается согласие этого журналиста на передачу редакцией соответствующих персональных данных. Судом также правильно обращено внимание на то, что аккредитация журналиста непосредственно связана с его профессиональной деятельностью по поиску, получению и распространению информации, и поэтому в соответствии с п. 6 ч. 2 ст. 6 Федерального закона «О персональных данных» необходимый для реализации требований ст. 48 Закона «О средствах массовой информации» минимум персональных данных журналиста может передаваться в орган, осуществляющий его аккредитацию, и без согласия этого журналиста <6>. ——————————— <6> См.: Определение Верховного Суда Российской Федерации от 27 февраля 2008 г. N 3-Г08-3 «Об оставлении без изменения решения Верховного Суда Республики Коми от 28 ноября 2007 г., которым частично удовлетворено заявление о признании противоречащими федеральному законодательству и не действующими со дня принятия ряда норм Положения об аккредитации представителей средств массовой информации при Главе Республики Коми, утвержденного Указом Главы Республики Коми «Об аккредитации представителей средств массовой информации при Главе Республики Коми» от 19 декабря 2006 г. N 143″ // URL: http:// www. supcourt. ru/ stor_text. php? id= 20192255.

——————————————————————

Каковы действия редакции СМИ как оператора ПД? Какие необходимы документы? Как собирать данные? – Читайте в статье Михаила Хохолкова.

Каждая редакция СМИ является оператором персональных данных своих сотрудников, читателей, подписчиков, рекламодателей и других контрагентов и подпадает под требования закона о персональных данных. Что нужно делать редакции как оператору ПД, какие документы подготовить, как собирать данные интернет-пользователей и нужно ли подавать уведомление в Роскомнадзор – рассказывает АНРИ.

Материал подготовлен на основе вебинара , проведенного ведущим юристом Михаилом Хохолковым в рамках проекта Альянса независимых региональных издателей (АНРИ) с использованием гранта Президента РФ на развитие гражданского общества, предоставленного Фондом президентских грантов.

1. При чем тут СМИ?

Редакции СМИ имеют дело с персональными данными, когда (1) распространяют сведения в журналистских материалах; (2) выступают операторами данных и занимаются их обработкой (например, данных своих сотрудников или подписчиков).

Здесь мы рассказываем о втором случае использования персональных данных. О первом – читайте в материале «СМИ vs Роскомнадзор. Как сделать журналистский материал и не нарушить закон о персональных данных? ». В нем подробно рассказано, какие данные относятся к персональным, что понимается под их «обработкой» и как журналисту корректно работать с такими данными.

2. Кто такой оператор персональных данных?

Согласно закону №152-ФЗ «О персональных данных», оператором ПД является государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД, а также определяющее цели обработки, состав персональных данных, действия (операции).

Другими словами, редакция СМИ обрабатывает персональные данные своих сотрудников, подписчиков, читателей, пользователей сайта, героев публикаций, рекламодателей, иных контрагентов. Соответственно, редакция является оператором ПД, даже если состоит из одного человека и не имеет юрлица.

3. Какие обязанности существуют у оператора?

Действия оператора ПД делятся на: (1) меры, направленные на защиту ПД (ст. 18.1 №152-ФЗ «О персональных данных») и (2) меры по обеспечению безопасности данных при их обработке (ст. 19 №152-ФЗ «О персональных данных»).

Оператор самостоятельно определяет состав и перечень мер, «необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством». Почему так? Все организации разные, им требуется разное количество персональных данных, которые нужно обрабатывать.

Оператор обязан:

предоставить по запросу субъекта данных информацию о его данных;
хранить личные сведения граждан с использованием баз данных только на территории РФ;
самостоятельно определить состав и перечень мер, необходимых для соблюдения законодательства;
опубликовать или иным способом обеспечить доступ к документам, определяющим политику конфиденциальности организации (если сбор ПД осуществляется на сайте, политику конфиденциальности нужно разместить так, чтобы рядовой пользователь мог легко обнаружить документ);
по запросу Роскомнадзора предоставить документы, обеспечивающие обработку персональных данных.

4. Что оператор должен сделать по минимуму?

Для соблюдения требований закона необходимо:

назначить ответственного или ответственных за обработку ПД (издать приказ) ;
разработать политику в отношении обработки ПД и необходимые локальные акты (ЛНА);
применять правовые, организационные и технические меры по обеспечению безопасности ПД: кроме издания локальных актов, сюда относится назначение ответственных лиц, установка антивирусных программ;
контролировать сотрудников и (или) проводить внутренний аудит обработки данных в редакции;
оценить вред, который может быть причинен субъектам ПД в случае нарушения законодательства: указать в специальном документе, какие ПД обрабатываются и в каких целях, какие задействованы компьютеры и программы, установлены ли пароли для защиты информационных систем и серверов;
ознакомить сотрудников, ответственных за обработку ПД, с положениями закона, если потребуется – обучить их. Законодательство не предъявляет конкретных требований к обучению сотрудников, поэтому в качестве такой меры можно зачесть курс вебинаров АНРИ по персональным данным. Главное – оформить это документально.

5. Какие документы должен иметь оператор персональных данных?

К локальным нормативным актам относятся инструкции, положения и отчеты. Все ЛНА и изменения к ним утверждаются руководителем организации и оформляются приказом. Работники должны быть ознакомлены с актами и изменениями (необходима физическая подпись в листах ознакомления).

Приблизительный перечень необходимых ЛНА таков:

Положение об обработке персональных данных: определяет правила работы с личными данными, круг должностных лиц, имеющих к ним доступ, и устанавливает ответственность за нарушение этих правил.
Политика информационной безопасности информационных систем по обработке ПД (ИСПД): определяет цели и задачи, а также общую стратегию системы защиты ПД. Информационная система – это любой компьютер, в котором хранятся данные, стоит учетная программа или с которого можно зайти на сервер, где хранятся данные. Оператору данных необходимо иметь перечень информационных систем и стратегию их защиты (можно ориентироваться на раздел по обеспечению конфиденциальности информации вашей учетной программы).
Положение по хранению и уничтожению данных.
Правила рассмотрения обращений субъектов данных.
Инструкция пользователя ПД, инструкция администратора ПД.
Модели угроз безопасности ПД: документ за подписью руководителя, в котором описана структура ИСПД, состав и режим обработки ПД, классификация потенциальных нарушений, оценка исходного уровня защищенности, оценка вероятности возникновения угроз и их актуальности. Базовую модель угроз безопасности ПД можно найти .
Руководство по работе с Интернетом.
Журналы (проверок, обращений граждан, учета съемных носителей).
Приказы (о введении режима обработки ПД, утверждения инструкций, журналов, положений политики).
Формы согласия на обработку ПД.

Политика оператора в отношении обработки ПД (политика конфиденциальности или пользовательское соглашение) и Положение об обработке ПД – это разные документы. Политика конфиденциальности компании – внешний общедоступный документ, положение – внутренний документ, в котором оператор определяет работу с данными внутри организации.

6. Как корректно собирать данные интернет-пользователей?

В Интернете (на своем сайте, как правило) оператор данных должен опубликовать два документа:

Согласие на обработку ПД.
В идеале – технически устроить так, чтобы пользователь не мог зарегистрироваться на сайте или подписаться на рассылку, не дав согласия на обработку: как в примере тульского портала (попробуйте зарегистрироваться).
Политику конфиденциальности (или пользовательское соглашение).
В политике конфиденциальности следует указать: кто собирает данные, в каком объеме и для чего, как собирается их использовать; порядок и условия обработки (будут ли сведения передаваться третьим лицам, каковы условия хранения, уничтожения и прочее). Рекомендации по составлению политики конфиденциальности размещены .
При разработке политики конфиденциальности обратите внимание на цели и объем собираемых данных: не нужно указывать операции, которые редакция не осуществляет, – например, описывать процедуру рассылки, которой по факту не существует.

7. Как уведомить Роскомнадзор об обработке персональных данных?

До начала обработки персональных данных оператор обязан уведомить РКН о своем намерении. По сути, такое уведомление нужно подавать одновременно с созданием организации.

Уведомление требуется от организации, которая:

на постоянной основе обрабатывает персональные данные (в штате организации есть сотрудники, проводится подписная кампания, собираются объявления на размещение рекламы);
работает с внештатными сотрудниками;
регистрирует на своем сайте пользователей или просит заполнить онлайн-формы для различных целей (рассылка, отзывы, подача объявления, «перезвонить мне» и т.д.)

Уведомление можно подать в бумажном виде в территориальный отдел Роскомнадзора по месту регистрации редакции (с подписью уполномоченного лица), предварительно заполнив форму ).

Карточка компании попадает в . Вот, например, так выглядит ООО «Русская медиагруппа «Западная пресса».

Неподача уведомления, несвоевременная или некорректная подача являются административным правонарушением: должностные лица могут быть оштрафованы на сумму от 300 до 500 рублей, юридические – от 3 до 5 тысяч рублей (ст. 19.7 КоАП РФ). Срок давности привлечения к административной ответственности составляет три месяца с даты возникновения обязанности уведомления (ч. 1 ст. 4.5 КоАП РФ).

При внесении изменений в карточку организации необходимо уведомить Роскомнадзор в течение 10 рабочих дней в том же порядке, в каком подавалось и первоначальное уведомление.

8. Когда уведомление в Роскомнадзор можно не подавать?

В редких случаях ведомство можно не уведомлять (ч. 2 ст. 22 152-ФЗ «О персональных данных»). Из них к деятельности СМИ применимы следующие:

ПД обрабатываются исключительно в рамках трудовых отношений – если редакция работает с людьми, не запрашивая дополнительных ПД и не передавая их третьим лицам.
ПД необходимы для исполнения договора, стороной которого является субъект ПД, и при этом данные не передаются третьим лицам.
Субъект данных сам сделал их общедоступными.
Если собираемые ПД включают в себя только фамилии, имена и отчества.
Если ПД собираются лишь для того, чтобы однократно пропустить человека на территорию предприятия.
Если ПД обрабатываются без использования средств автоматизации (на бумаге).

9. В каких случаях можно не брать согласия на обработку у сотрудников?

Существуют случаи, когда работодатель может обрабатывать данные сотрудника без его согласия ( от 14 декабря 2012 года). Из них к работе СМИ применимы:

Случаи, предусмотренные коллективным договором, в том числе правилами внутреннего трудового распорядка, а также локальными актами работодателя.
При обработке ПД близких родственников работника в объеме, предусмотренном формой №Т-2 и в некоторых случаях (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
При передаче данных работника третьим лицам в случаях, когда это необходимо для предупреждения угрозы жизни и здоровью работника, и в других случаях, предусмотренных российским законодательством (например, передача сведений о работниках в ФНС, ФСС И ПФР, военкомат и профсоюзы, при командировании в гостиницы).
При получении мотивированных запросов от прокуратуры, полиции, ФСБ, трудовых инспекторов.
При передаче персональных данных работника кредитным организациям для начисления зарплаты в следующих случаях:
а) договор на выпуск банковской карты заключался с работником напрямую, и в нем предусмотрена передача ПД;
б) наличие у работодателя доверенности на представление интересов работника при заключении договора с финансовой организацией;
в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).
При оформлении пропуска, если это предусмотрено коллективным договором или ЛНА.

Если редакция передает бухгалтерский и кадровый учет на аутсорсинг, ей необходимо заручиться у своих сотрудников отдельным согласием на передачу ПД третьему лицу. В договоре с аутсорсинговой организацией нужно предусмотреть ее обязанность по обеспечению защиты данных сотрудников.

10. Как должно выглядеть согласие на обработку персональных данных?

Согласие должно позволять сделать однозначный вывод о целях, способах обработки ПД с указанием действий и объеме собираемых данных (ч. 4 ст. 9 №152-ФЗ «О персональных данных»).

Согласие сотрудника может быть оформлено отдельно или включено в трудовой договор, Роскомнадзор предлагает оформлять его .

Вот примеры согласия на обработку данных посетителей сайта СМИ от и .

Согласие на обработку ПД подписчиков газеты может выглядеть .

Аналогичным образом оформляется согласие на обработку ПД рекламодателей и других контрагентов.

11. Как быть с персональными данными уволенных сотрудников?

Работодатель имеет право обрабатывать данные уволенного работника в случаях и в сроки, предусмотренные законом, согласия бывших сотрудников при этом не требуется (п. 2 ч. 1 ст. 6 ФЗ «О персональных данных»):

четыре года хранить документы, необходимые для исчисления, удержания или перечисления налога (подп. 5. п. 3. ст. 24 Налогового кодекса РФ);
хранить бухгалтерскую документацию в течение срока, установленного Госархивом, но не менее пяти лет (ст. 17 ФЗ «О бухгалтерском учете»).

По истечении установленных законом сроков личные дела работников и иные документы сдаются в архив.

12. Как обрабатывать данные соискателей?

Резюме не обходится без персональных данных, поэтому работодатель должен получить предварительное согласие соискателя на обработку его сведений до найма/отказа, кроме случаев, когда:

от имени соискателя действует кадровое агентство (согласие дано агенту);
соискатель самостоятельно разместил резюме в Интернете.

Если кандидат выслал резюме по электронной почте, работодатель может получить его согласие на обработку ПД во время личной встречи. Если о встрече не договорились, резюме уничтожается. В случае отказа в приеме на работу данные кандидата уничтожаются в течение 30 дней.

Работодатель также должен заручиться согласием соискателя, если хочет проверить его прежние рабочие места, кроме случаев, когда:

речь идет о приеме на работу бывшего государственного или муниципального служащего (ст. 64.1 ТК РФ);
речь идет о замещении вакантных должностей государственной гражданской службы (перечень документов определен ФЗ «О государственной гражданской службе»).

13. Как журналисту обрабатывать данные героев публикации, источников информации, адресные базы и прочее?

Журналист может свободно обрабатывать ПД на основании п. 8 ст. 6 №152-ФЗ «О персональных данных», когда такая обработка необходима для осуществления его профессиональной деятельности и не нарушает права и свободы субъекта.

Однако когда ПД собираются в адресные базы (источников информации, например), нужно либо получить согласие субъекта данных, либо записать только те данные, по которым человека нельзя идентифицировать.

При этом согласие можно получить и в любой форме – устной или в порядке рабочей переписки: главное, чтобы его наличие можно было подтвердить.

В управлении Роскомнадзора по УрФО прошел семинар для прессы с разъяснениями новаций в законодательстве. В ведомстве отметили, что если журналисты допустили «утечку» персональных данных, это будет расцениваться как злоупотребление свободой СМИ. В таком случае редакция рискует получить предупреждение Роскомнадзора . Два предупреждения за год – повод для обращения в суд с иском о прекращении деятельности издания. О том, как не допустить такой ситуации, и шла речь на семинаре.

Инициалы, фамилия, должность – и все на этом

Одна из главных новаций заключается в том, что теперь журналисты имеют право брать из открытых источников только ограниченную информацию. К примеру, допускается упоминание имени и фамилии (без отчества) героя материала, а также его должность или место работы. Но описание где и как он живет, с кем общается – уже считается нарушением закона, даже если человек сам опубликовал эту информацию в социальных сетях . Или журналист может поступить наоборот: максимально подробно рассказать о жизни человека, но «обезличить» текст – изменить имя или «зашифровать» его инициалами. Как пояснила начальник отдела по защите прав субъектов персональных данных управления Роскомнадзора по УрФО Анастасия Гоголева, главным критерием является объем опубликованных сведений о человеке. Если информация не способствует идентификации личности, ее можно свободно размещать в СМИ.

В любом другом случае автор материала должен взять согласие того, чьи персональные данные он собирается опубликовать. Причем в некоторых ситуациях согласие должно быть дано в письменной форме – эти случаи перечисляются в статьях 8, 10, 11, 12 и 16 федерального закона «О персональных данных». Например, по закону разглашение сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни возможно только с разрешения человека. Аналогичная ситуация с фото и видеоматериалами. Если на них можно опознать человека, это считается распространением биометрических данных и требует согласия субъекта. Исключением является только публикация фотографий во время розыскных и следственных действий. Для СМИ есть один выход – публиковать фотографии без подписей или давать минимальную информацию под ними. «Если читатель не может идентифицировать человека, изображенного на фотографии, претензий не будет», – заверили представители Роскомнадзора.

Конец расследованиям

Конечно, новая трактовка защиты персональных данных возмутила журналистов. Ограничения практически ставят «крест» на расследованиях о коррумпированных чиновниках, политиках и других публичных персонах. Как можно описывать злодеяния должностного лица, скрывая от читателей его имя? Представители Роскомнадзора заявили, что не дают оценку общественно-значимой информации, а лишь проверяют соблюдение закона «О персональных данных». К примеру, если обиженный чиновник пожалуется на незаконное распространение его личных данных в каком-либо издании, Роскомнадзор будет обязан направить запрос в СМИ. Журналисты вправе ответить, что разглашение данных было в интересах общества. Тогда в этом споре будет разбираться суд. Кстати, на Урале пока таких прецедентов не было.

В то же время в Роскомнадзоре привели пример из жизни, когда публикация о доходах госслужащего была определена как нарушение закона. Журналист взял сведения из официальной декларации чиновника, где также был указан доход его супруги, и в своем тексте дописал должность жены служащего и «бэкграунд». От властной семьи незамедлительно последовала жалоба.

Претензии могут возникнуть даже к таким безобидным публикациям, где дается справка о карьерной историии чиновника – где учился и работал. В таком случае журналисту также необходимо брать согласие у «субъекта персональных данных». Хотя тут тоже есть нюансы. Как отметила Анастасия Гоголева, Роскомнадзор в основном следит за соблюдением закона в отношении несовершеннолетних, а проверка публикаций с персональными данными взрослых обычно проводится по заявлениям граждан. За год в ведомство поступает около 40 подобных обращений.

О детях – почти ничего

О жестких ограничениях Роскомнадзора относительно публикаций данных несовершеннолетних ранее уже писалось. Сегодня, сотрудники ведомства в очередной раз напомнили, что журналистский материал должен защищать права ребенка . Распространение личных данных пострадавших в результате противоправных действий детей запрещается. Причем противоправные действия могут укладываться в КоАП, то есть банальная драка в школе тоже относится к этим случаям. Публиковать фотографию несовершеннолетнего можно только с согласия его родителей или законного представителя. Если ребенок достиг 14 лет, разрешение нужно спрашивать и у него. Если совершено преступление против половой неприкосновенности несовершеннолетнего, публиковать фото жертвы нельзя, даже после окончания следственных действий. Единственным исключением может быть фото ребенка, который потерялся и его ищет полиция. После того, как ребенка нашли, СМИ лучше ограничится минимальной информацией о «потеряшке», чтобы не навлечь на себя санкции.

Практика будет нарабатываться

Представители Роскомнадзора отметили, что полномочия по наложению штрафов за несоблюдение закона «О персональных данных» переходят к ним с 1 июля. На данный момент судебной практики по разрешению спорных вопросов в этой сфере практически нет, но, как следует из вышеописанного, она не заставит себя долго ждать. По новому закону существенно увеличиваются размеры штрафов за нарушения публикаций персональных данных. Если сейчас денежные санкции составляют 5-10 тысяч рублей, то со второго полугодия штрафы для юридических лиц уже будут от 20 до 75 тысяч рублей. При этом важно помнить, что в КоАП внесено семь дополнительных составов правонарушений по персональным данным, то есть суммы штрафов за нарушения будут суммироваться.

27 июля в Роскомнадзоре прошел день открытых дверей. В ситуационном центре представители ведомства рассказали о правовых новшествах в законе о персональных данных, а также ответили на вопросы общественности.

Основную часть присутствующих составляли журналисты и члены бизнес-сообщества. На мероприятии побывал и корреспондент Федерального агентства новостей .

Новые подходы для новых времен

Роскомнадзор рассказал о принятых поправках в закон о персональных данных. По словам заместителя руководителя Роскомнадзора Алексея Панкова , тема защиты персональных данных граждан в последние годы стала весьма актуальной и приобрела особое динамичное развитие.

Панков полагает, что это связано с широким распространением различных мобильных устройств, развитием интернет-технологий, а также с аккумулированием значительного объема сведений о гражданах в электронных базах.

«Все эти процессы постепенно приводят к тому, что прежние взгляды на роль и место обработки персональных данных в информационном обществе требуют модернизации, - добавил Панков. - Это побуждает регулятора, общественные организации и объединения искать новые подходы к созданию надежных механизмов защиты информации о гражданах».

Защитить россиян

Заместитель начальника управления по защите прав субъектов персональных данных Роскомнадзора Альфия Гафурова рассказала о правовых нововведениях в законе о персональных данных.

В частности, изменения коснулись статьи 13.11 КоАП РФ. В административный кодекс вносится 7 новых составов административных правонарушений в области персональных данных. Кроме того, с 1 июля 2017 года Роскомнадзор наделяется полномочиями по возбуждению дел, предусмотренных этими новыми составами.

В частности, административное наказание последует за отсутствие письменного согласия на обработку персональных данных, нарушение сроков по уточнению, блокированию или уничтожению персональных данных, за невыполнение обязанностей по обезличиванию персональных данных и другие нарушения. Законодательством предусматриваются предупреждения и штрафы от 6 до 75 тысяч рублей.

По словам сотрудников ведомства, принятые новеллы помогут защитить персональные данные россиян от недобросовестного использования.

По голосу – в банк!

После презентации правовых новшеств сотрудники Роскомнадзора несколько часов отвечали на вопросы присутствующих. Чиновников спрашивали и о конкретной правоприменительной практике, и о перспективах защиты персональных данных в целом. В основном, вопросы исходили от представителей бизнеса.

В частности, на вопрос о необходимости изменения политики персональных данных после введения биометрической верификации в банках ведомство ответило: безусловно, необходимо получение письменного согласия на использование биометрических данных клиента.

Множество вопросов задавали компании, которые подавали уведомления об использовании персональных данных в Роскомнадзор, но затем не обнаружили себя в списке. Представитель ведомства, старший государственный инспектор Анастасия Клочкова подчеркивает: в таком случае необходимо подать уведомление повторно. Дело в том, что зачастую уведомления компаний не соответствуют требованиям законодательства и нуждаются в изменении.

Хорошее подспорье

Свой вопрос задал и корреспондент ФАН. Нас интересовало, как закон о персональных данных соотносится с деятельностью СМИ. Является ли интервью с известным лицом разглашением его персональных данных? И будет ли персональными данными указание ФИО и фотографии в статье? Нужно ли просить у каждого героя статьи согласие на публикацию?

Начальник управления Роскомнадзора по защите прав субъектов персональных данных Юрий Контемиров начал с того, что само определение персональных данных достаточно широко.

«Если отталкиваться от определения, в законе четко прописано: это любая информация, прямо или косвенно относящаяся к физическому лицу и позволяющая его идентифицировать, - поясняет Контемиров. - Идентификация субъекта не является основным критерием отнесения информации к персональным данным».

Герман Галкин, редактор сетевого издания Lentachel.ru

С 1 июля произошло ужесточение законодательства, серьезно затрудняющее работу средств массовой информации. При этом прошедшая 28 июня видеоконференция Уральского управления Роскомнадзора не сильно внесла ясность в перечень новых запретов и ограничений. Более того, выяснилось, что сотрудники уральского и челябинского Роскомнадзора по-разному понимают вводимую систему ограничений.

О том, что можно считать главным ограничением, уже говорили. Теперь фактически закрыта сама возможность журналистских расследований, без которых журналистики вообще-то не бывает. Закон о защите персональных данных резко ужесточает ответственность за несогласованное разглашение этих самых персональных данных граждан. Понятно, что журналистов интересуют чаще всего не рядовые граждане, а политики, чиновники, известные предприниматели, руководители силовых структур. Те или иные нарушения закона допускают все вышеперечисленные категории лиц. Беда для прессы теперь в том, что, если журналисты допустили «утечку» персональных данных, это будет расцениваться как …злоупотребление свободой СМИ. А персональные данные - это фактически любая информация об объекте журналистского расследования. Редакция СМИ может в два счета получить предупреждение Роскомнадзора. Не стоит лишний раз напоминать, что два предупреждения за год - уже есть повод для иска в суд о прекращении деятельности средства массовой информации. Фактически в России таким образом запрещают журналистику.

Я не преувеличиваю. Поскольку даже при использовании данных из открытых источников прессу теперь дополнительно ограничивают. Отныне журналисты имеют право брать из открытых источников только имя и фамилию (без отчества) героя материала, а также его должность или место работы. Описывать, где человек и как живет, с кем общается, уже будет считаться нарушением закона. Причем, для СМИ будет нарушением закона опубликовать даже то, что человек сам опубликовал о себе в социальных сетях. Понятно, что можно поступить по-другому: подробно рассказать о жизни человека, но изменить имя или использовать лишь инициалы. Однако в этом случае становится уже непонятно, о ком идет речь. И теряется сам смысл журналистской работы. Благодаря прессе цивилизованное общество контролирует деятельность высокопоставленных должностных лиц, включая депутатов, мэров, губернаторов, президента.

Согласно введенным изменениям в закон о персональных данных, главным критерием для того же Роскомнадзора является объем опубликованных сведений о человеке. Если информация не способствует идентификации личности, ее можно, видите ли, свободно размещать в СМИ. Правда, возникает вопрос - кому такая информация вообще будет нужна?

На встречах с юными журналистами я всегда советую читать «Универсального журналиста» Дэвида Рэндалла. Эта книга была написана в помощь молодым журналистам именно России. Напомню ключевой, на мой взгляд, момент из этого пособия: «Хорошие журналисты во всем мире одинаково понимают свою роль. Прежде всего, это означает задавать вопросы и сомневаться. Затем:

Отыскивать и публиковать информацию вместо слухов и измышлений.

Сопротивляться правительственному контролю или вовсе избегать его.

Информировать избирателей.

Тщательно расследовать действия и бездействие правительств, выборных представителей и общественных организаций.

Исследовать мир бизнеса, обращение с рабочими и покупателями и качество продукции.

Облегчать жизнь пострадавшим и тревожить удобно устроившихся, предоставляя свой голос тем, кто лишен возможности быть услышанными.

Держать зеркало у лица общества, показывая его достоинства и пороки, развенчивая лелеемые им мифы.

Работать на торжество правосудия, демонстрируя его победы и расследуя поражения.

Содействовать свободному обмену идеями, особенно - такими, которые идут вразрез с господствующей идеологией.»

В условиях изменившегося российского законодательства выполнять свое вышеописанное предназначение СМИ в России больше не смогут. На нас надели намордник в лице указанного закона и Роскомнадзора. Теперь автор материала должен взять согласие того, чьи персональные данные он собирается опубликовать. В некоторых ситуациях это согласие должно быть дано еще и в письменной форме - эти случаи перечислены в статьях 8, 10, 11, 12 и 16 федерального закона «О персональных данных». В частности, в статье 8 говорится: «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.» И тут же добавляется: «Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.»

Разглашение сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни возможно только с разрешения человека. Как, скажите, описывать теперь работу политиков? У каждого из них каждое СМИ теперь до публикации должно спрашивать разрешения на обнародование его политических взглядов? Даже если он состоит в той или иной партии? Абсурд.

Нелегче с фото и видеоматериалами. Если на фото и видео можно опознать человека, это считается распространением биометрических данных и требует …согласия субъекта. Исключением является только публикация фотографий во время розыскных и следственных действий. Для СМИ опять-таки есть лишь один выход - публиковать фотографии без подписей или давать минимальную информацию под ними. И то это будет рискованно.

Во время видеоконференции 28 июня я, как редактор сетевого издания Lentachel.ru, задал вопрос представительнице Уральского управления Роскомнадзора, которая вела конференцию. Вопрос касался одной из прежних наших публикаций, в которой челябинское управление Роскомнадзора усмотрело нарушения и потребовало убрать подробности происшествия. А происшествие было такое. На сайте службы спасения рассказывалось, как мужчина бросился с моста в реку. И прямо говорилось про попытку суицида. В публикации на Lentachel.ru не использовались слова "суицид", "самоубийство", тем не менее челябинский Роскомнадзор решил, что детали происшествия указывают именно на попытку самоубийства и потребовал скорректировать заметку или же вовсе удалить с сайта. Мы пошли первым путем. И внесли корректировку: "Новость временно отключена в связи с жалобой от Роскомнадзора в адрес сайта Lentachel.ru. В новости была информация от пресс-службы областной поисково-спасательной службы о том, что мужчина что-то сделал, о чем нельзя говорить на нашем сайте, но можно говорить на сайте областной поисково-спасательной службы."

Я описал этот случай представительнице уральского управления Роскомнадзора в присутствии всех участников видеоконференции. В ответ услышал, что достаточно было внести слово "предположительно" рядом со словом "самоубийство". И вопрос был бы снят. Я пояснил, что у нас в заметке в принципе не было слова "самоубийство". Стало быть, и сглаживать словом "предположительно" было нечего. Ведущая видеоконференции замялась. Потом сослалась на то, что не видит контекст.

Какие можно сделать выводы? Во-первых, что журналистика посредством новых законодательных ограничений уничтожается фактически в России на корню. Цензура по Конституции запрещена. Однако есть масса ограничений, которые фактически лишают журналистов возможности заниматься журналистикой. Во-вторых, есть основания думать, что отдельно взятый челябинский Роскомнадзор превышает свои полномочия. В-третьих, что в системе Роскомнадзора нет четких критериев оценки для обнаружения нарушений. А значит, драконовские изменения в законах будут дополнительно усилены своеобразным «пониманием» их применения в данном контролирующем ведомстве.

На видеоконференции челябинские журналисты просили представителя ведомства выдать письменные инструкции, что все-таки будет запрещено с 1 июля. Однако таковых не дождались. Как пояснила представительница Уральского управления Роскомнадзора, каждый случай индивидуален. Поэтому и решать Роскомнадзор будет индивидуально с каждым. Ничего хорошего для СМИ такой подход не сулит.

При таких ограничениях, да еще и «творческих» подходах Роскомнадзора прессе работать будет чрезвычайно трудно, если вообще возможно. Надо будет, видимо, уточнить имена тех, принимал данный безумный закон. И конечно, запомнить имена тех, кто с таким усердием его исполнял. Когда придет время закон о персональных данных в его нынешнем виде отменять (не факт, что все нынешние СМИ к тому времени выживут), можно будет вспомнить "героев" поименно. И воздать им по заслугам. Разумеется, в соответствии с нормами закона!

В Роскомнадзоре уже приводили пример, когда публикация о доходах госслужащего была определена как нарушение закона! Журналист взял сведения из официальной декларации чиновника, где также был указан доход его супруги. В тексте журналист дописал должность жены служащего и прочую информацию. Последовала жалоба от «пострадавших».

Претензии теперь могут, оказывается, возникнуть даже к публикациям, где дается справка о карьерной истории чиновника - где он учился, жил, работал. И в таком случае журналисту будет необходимо брать согласие у «субъекта персональных данных».